Auditoría Interna: El Nuevo Pilar de la Alta Dirección Octubre, 2015

Transcripción

1 Auditoría Interna: El Nuevo Pilar de la Alta Dirección Octubre,

2 Inteligencia y Contrainteligencia, Poderosas Herramientas para Combatir pero también para Cometer Fraude: Quién las está usando en su compañía y para qué? Jorge Badillo CIA, CCSA, CRMA, CGAP, CISA, MBA Presidente del Directorio Fundación Latinoamericana de Auditores Internos 2

3 Es ecuatoriano, cuenta con más de 18 años de experiencia en labores de auditoría: interna, financiera, de gestión, forense, informática. Trabaja en la compañía minera Sierra Gorda SCM (Joint Venture: KGHM & Sumitomo) como Gerente de Auditoría Interna con sede en Chile. Tiempo atrás trabajó en la compañía minera canadiense Kinross Gold Corporation como Gerente Regional de Auditoría Interna para Sudamérica, con sede regional en Chile. Trabajó para la Organización de las Naciones Unidas ONU como Contralor Financiero de la Organización Internacional para las Migraciones, Misión en Ecuador; antes se desempeñó en Ecuador como Manager en Ernst & Young y también fue Director de Auditoría Interna del Servicio de Rentas Internas SRI. Fue postulante al cargo de Contralor General del Estado de Ecuador en el año Es Doctor en Contabilidad y Auditoría - CPA; Magíster en Administración de Empresas - MBA. Cuenta con las certificaciones internacionales: CIA Certified Internal Auditor; CCSA Certification in Control Self Assessment CGAP Certified Government Auditing Professional CRMA Certification in Risk Management Assurance CISA Certified Information Systems Auditor Es miembro del Directorio en The Institute of Internal Auditors (The IIA Global) para el período Julio 2014 Julio Es miembro de Comités Internacionales en The IIA ( ). Es Presidente de la Federación Latinoamericana de Auditores Internos FLAI ( ) Jorge Badillo Ayala Es miembro del Directorio del Instituto de Auditores Internos de Chile. Fue Presidente del Instituto de Auditores Internos del Ecuador A nivel internacional es conferencista, instructor y docente universitario en los temas de su especialidad Gerente de Auditoría Interna Sierra Gorda SCM 3

4 Inteligencia.- Obtener información del enemigo. En gestión de riesgos de fraude esto corresponde a tener implementados mecanismos para detectar e investigar fraudes. Contrainteligencia.- Evitar que el enemigo obtenga información de uno. En gestión de riesgos de fraude esto corresponde a evitar que quienes planean cometer o están cometiendo fraudes accedan a información que les permita lograr con éxito el fraude sin ser descubiertos y sancionados. Hay que tener en cuenta que quienes cometen fraudes en ocasiones recurren a prácticas de espionaje e infiltración. 4

5 Black Intelligence: Deshonesto obtiene información de honesto (quien es o será víctima de fraude) White Intelligence: Honesto obtiene información de deshonesto (quien comete o cometerá fraude) Black Counterintelligence : Deshonesto evita que honesto obtenga información de él y sus actividades White Counterintelligence : Honesto evita que deshonesto obtenga información de él y sus actividades 5

6 Inteligencia / Contrainteligencia Enemigo Actividades de Inteligencia Obtener información clave para Militar Enemigo militar Tomar ventaja militar en un conflicto (defensa & ataque) Actividades de Contrainteligencia Evitar que el enemigo obtenga información clave para Tomar ventaja militar en un conflicto (defensa & ataque) Comercial La competencia Tomar ventaja comercial Tomar ventaja comercial En Fraude Quienes cometen Fraude Prevenir, detectar e investigar fraudes Cometer / seguir cometiendo fraudes Inteligencia.- Obtener información del enemigo Contrainteligencia.- Evitar que el enemigo obtenga información de uno 6

7 Black Intelligence: Deshonesto obtiene información de honesto (quien es o será víctima de fraude) White Intelligence: Honesto obtiene información de deshonesto (quien comete o cometerá fraude) ALERTA. Los deshonestos también realizan actividades de inteligencia (para poder cometer sus fraudes) y contrainteligencia (para evitar ser descubiertos) Black Counterintelligence : Deshonesto evita que honesto obtenga información de él y sus actividades White Counterintelligence : Honesto evita que deshonesto obtenga información de él y sus actividades 7

8 En cuanto a programas anti-fraude se debe comprender que son necesarios esfuerzos conjuntos para combatir un enemigo común Jorge Badillo FriendSheep - Animation by Primer Frame JriJQc El Vendedor de Humo 8C8mdzU 8

9 Técnicas y herramientas para afrontar el fraude Por su objetivo y momento de acción Prevención Detección Investigación Desde la perspectiva de la obtención / protección de información relacionada con fraude Inteligencia Contrainteligencia 9

10 INFORMACIÓN Inteligencia Obtener Información Contrainteligencia Proteger Información Nuestra asignación es hacer nuestro sistema contable menos transparente. Qué? Nosotros no queremos que los inversionistas conozcan lo que nosotros estamos haciendo. Nosotros somos malas personas? Nosotros somos buenas personas que han sido influenciadas por una cultura corporativa corrupta. Ah, bien, seguiré adelante 10

11 11

12 Inteligencia Blanca Sistemas de gestión de denuncias y protección a denunciantes Monitoreo de actividades en mundo real y mundo virtual (actividades, accesos, comunicaciones, alertas red flags ) Análisis de datos (comportamientos, tendencias, relaciones, concordancias esperadas / diferencias esperadas no están) Monitoreo continuo / auditoría continua Revisión periódica de logs/pistas de auditoría (acceso, transaccionales) Controles ocultos (confidencialidad) Revisiones / auditorías sorpresa Confirmación de adhesión al Código de Ética Análisis y confirmación de antecedentes para fines de contratación/promoción Entrevistas de salida Comportamiento crediticio Períodos de vacación obligatorios Rotación de funciones Períodos de vacación obligatorios Rotación de funciones Declaraciones juramentadas de bienes de empleados solicitada periódicamente Inclusión en la evaluación de desempeño de aspectos de ética y valores Calificación de proveedores Cláusula de auditabilidad de contratos Política de revelación de conflictos de intereses Análisis de relaciones Listas negras (empleados, proveedores, otros) Guía de casos de fraude (esquema, prevención, detección) Sistemas de detección de intrusos IDS Emboscada Técnicas de prevención, detección e investigación de fraudes 12

13 Inteligencia Negra Monitoreo de actividades en mundo real y mundo virtual Ingeniería social (obtener información en base a engaños) Colusión Presión / tentación para obtener información / ayuda Infiltrar personas en áreas/organizaciones Regulados infiltrados en reguladores (Superintendencias, Ministerios, Administraciones Tributarias, Aduanas) Infiltrar áreas de control Infiltrar área a ser atacada Obtener información para identificar/construir la oportunidad Acceso, conocimiento, tiempo Control interno Posibilidad de detección Sanción 13

14 Contrainteligencia Blanca Evaluación de control interno Evaluación de riesgos de fraude Seguridad de la información Confidencialidad Integridad Disponibilidad Seguridad física Seguridad, monitoreo y restricción de accesos a bienes / instalaciones Seguridad lógica Identificación & autenticación (simple, doble o triple factor; algo que sé, algo que tengo, algo que soy) Controles biométricos Perfiles/Roles y usuarios Necesidad de saber Menor privilegio Segregación de funciones Seguridad lógica (continuación) Cierre automático de sesión (período de inactividad) Impedir inicio de sesiones simultáneas con un mismo usuario desde distintos equipos Bloqueo del usuario ante un número determinado de intentos de acceso fallidos (usualmente tres) Asociar el usuario y clave con el número IP del equipo Encriptación de información Control de entrada / salida de información (mail, dispositivos, etc.) Firewalls Capacitación & concientización Señuelos & distractores Técnicas de prevención, detección e investigación de fraudes 14

15 Contrainteligencia Negra Distorsión de la información Asimetría de la información Suplantación de identidad real o virtual Alteración de sistemas Aprovechar/construir brechas de control Evadir / eludir controles Falsos controles Legislación oculta Creación de una falsa imagen (persona honesta, trabajador ejemplar) Falsificación, engaño, mentira Técnicas de ocultamiento del fraude Monopolio Discrecionalidad Falta de transparencia Desorden / confusión Diluir responsabilidad & autoridad 15

16 La Emboscada (La Trampa)

17 Los Infiltrados

18 CBOK Respondiendo al riesgo de fraude 1. El enfoque global sobre riesgo de fraude 2. La responsabilidad de auditoría interna para la prevención y detección de fraude 3. Capacidades de auditoría interna en respuesta al riesgo de fraude 4. Cinco formas de mejorar el enfoque de auditoría interna hacia el riesgo de fraude 18

19 CBOK Respondiendo al riesgo de fraude Asignar a auditoría interna toda o la mayor responsabilidad por la detección de fraude es el enfoque antiguo y esto es lo más cómodo para una Compañía puesto que implica que las otras áreas en la organización no serán desafiadas a apoyar en los esfuerzos de detección de fraude Jorge Badillo Assigning internal audit with all or most of the responsibility for fraud detection is the old-fashioned way, and it is the most comfortable thing for a company to do because it implies that all the other areas in the organization will not be challenged to support the fraud detection efforts Jorge Badillo 19

20 Próximos eventos FLAI 1er Seminario Latinoamericano SELAT GRC

21 Próximos eventos FLAI XXI Congreso Latinoamericano de Auditoría Interna CLAI

22 INFORMACIÓN DE CONTACTO Hay tres tipos de personas: Los que hacen que las cosas pasen; los que miran las cosas que pasan y los que se preguntan Qué pasó? Nicholas Murray Butler 22

23 Gracias por su Atención! PREGUNTAS 23